Aprenda

¿Qué son los criterios comunes?

Una de las formas más eficaces de cumplir los requisitos de ciberseguridad y cumplimiento normativo es utilizar productos certificados conforme al estándar criterios comunes, reconocido a nivel mundial.

¿No le resulta familiar? Permítanos explicárselo.

A continuación, repasaremos los fundamentos de la evaluación criterios comunes: qué es, por qué es importante y cómo la certificación ayuda a las organizaciones a reforzar la confianza en su postura de seguridad.

¿Qué es la certificación según los criterios comunes?

Los Criterios comunes para la evaluación de la seguridad de la tecnología de la información —a menudo llamados simplemente criterios comunes o CC— son un estándar internacional para la certificación de seguridad informática. Basado en la norma ISO/IEC 15408, su objetivo es proporcionar la confianza de que las características de seguridad de un producto han sido probadas y verificadas de forma independiente mediante un proceso riguroso y repetible adecuado a su uso previsto.

Originalmente, los criterios comunes se creó para unificar los sistemas nacionales de certificación de países como Estados Unidos, Canadá, Alemania, Reino Unido, Francia, Australia y Nueva Zelanda. En la actualidad, constituye un marco global integral que ofrece el más amplio reconocimiento mutuo de certificaciones seguras de productos informáticos en todo el mundo.

Descripción

Las soluciones certificadas según los criterios comunes son utilizadas por Gobiernos, empresas y proveedores de servicios de todo el mundo para proteger infraestructura crítica para la misión.

De hecho, a menudo es un requisito previo para muchas soluciones, incluidos los servicios de firma digital calificada conforme al Reglamento sobre Identificación Electrónica y Servicios de Confianza de la Unión Europea, conocido como eIDAS (que fue actualizado en 2024 y ahora se denomina eIDAS 2). Adicionalmente, los clientes del Gobierno estadounidense con frecuencia solicitan productos de TI seguros que estén en la lista de la >Asociación Nacional de Garantía de la Información, que exige la certificación según los criterios comunes.

La norma de los criterios comunes garantiza que aspectos clave de la seguridad de los productos se hayan diseñado, implantado, probado, mantenido y verificado de forma independiente. Entre sus principales áreas de interés se incluyen las siguientes:

  • Desarrollo del producto y las funciones de seguridad relacionadas, incluidas el diseño de alto nivel, la arquitectura y la implementación.
  • Orientación para la implantación y preparación de productos seguros.
  • Gestión del ciclo de vida de los documentos y procesos relacionados con la configuración, la entrega y la retirada de productos.
  • Comprobación de las funciones de seguridad de acuerdo con los requisitos básicos.

Autoridades de certificación

Como norma internacional, los criterios comunes se rigen por los países participantes a través de organismos de certificación independientes. Cada organismo es responsable de evaluar y certificar los productos conforme a los requisitos de criterios comunes, garantizando que las certificaciones cumplan unos criterios de referencia de garantía coherentes y reconocidos a escala mundial.

Comprensión de los criterios comunes: Conceptos clave

Los criterios comunes introducen varios términos clave que definen su proceso de evaluación:

  • Objetivo de evaluación (TOE): El producto o sistema objeto de certificación.
  • Objetivo de seguridad (ST): Un documento que define las características y objetivos de seguridad del TOE. El ST permite a los proveedores adaptar la evaluación a las capacidades específicas de sus productos, a menudo haciendo referencia a uno o varios perfiles de protección.
  • Perfil de protección (PP): Un conjunto normalizado de requisitos de seguridad para una categoría de productos (p. ej., módulos de seguridad de hardware o módulos de activación de firmas). Los PP garantizan criterios de evaluación coherentes y repetibles.
  • Requisitos funcionales de seguridad (SFR): Las funciones y capacidades de seguridad específicas del producto.
  • Requisitos de garantía de seguridad (SAR): Las medidas utilizadas para verificar que un producto cumple las normas declaradas.
  • Nivel de garantía de evaluación (EAL): Calificación numérica que indica la profundidad y el rigor de la evaluación, de EAL1 (básica) a EAL7 (la más estricta).

Proceso de certificación según los criterios comunes

Todos los productos y las soluciones certificados según los criterios comunes deben someterse a pruebas y verificaciones independientes en virtud del proceso de evaluación específico:

  1. En primer lugar, el desarrollador debe cumplimentar una descripción del objetivo de seguridad y presentar los documentos justificativos que describan el producto, sus funciones de seguridad y las posibles vulnerabilidades.
  2. Opcionalmente, la organización puede elegir un perfil de protección que le sirva de documento guía durante todo el proceso de certificación según los CC. La elección de un PP puede no ser necesaria, pero significa un compromiso con la evaluación exhaustiva, garantizando que el TOE está alineado con el caso de uso previsto.
  3. A continuación, un laboratorio de criterios comunes con licencia independiente debe evaluar el producto para verificar si cumple con el estándar criterios comunes. Una vez que termina, debe recopilar las conclusiones en un informe de evaluación.
  4. Si el TOE cumple los requisitos mínimos, un organismo de certificación expide un certificado de criterios comunes.Una vez verificados, todos los productos certificados según los criterios comunes aparecen en el portal de criterios comunes.

¿Cómo funcionan los perfiles de protección?

Aunque un perfil de protección define los requisitos de seguridad normalizados para una categoría de productos, en la práctica también determina cómo se evalúa ese producto. Cada PP describe los objetivos de seguridad, las amenazas potenciales y las actividades de evaluación que deben abordarse durante la certificación.

Los Qualified Signature Creation Devices (QSCD), utilizados para generar firmas y sellos electrónicos calificados, se basan en gran medida en los perfiles de protección de criterios comunes para garantizar una creación de firmas segura y fiable.

Los vendedores pueden reclamar la conformidad con una PP existente —como la EN 419 221-5 para módulos de seguridad de hardware (HSM) o la EN 419 241-2 para módulos de activación de firma (SAM)— para demostrar el cumplimiento de normas industriales bien definidas. La alineación con un PP garantiza que el producto se evalúa con arreglo a criterios coherentes y reconocidos, lo que permite el reconocimiento mutuo entre jurisdicciones y simplifica las auditorías en el marco del eIDAS y otros marcos de confianza digital.

Desde la perspectiva del Reglamento eIDAS 2, un QSCD estará compuesto por un HSM con una certificación CC EAL4+ que se acoja a la norma PP EN 419 221-5, y un SAM con una certificación CC EAL4+ que se acoja a la norma PP EN 419 241-2.

Actualizaciones de criterios comunes: Entrust logra la certificación EAL4+

Los criterios comunes siguen evolucionando para satisfacer las exigencias de los marcos modernos de ciberseguridad y confianza digital, incluida una mayor armonización con la Ley de Ciberseguridad de la UE y el incipiente Sistema de Certificación de Ciberseguridad de la UE. Estos avances hacen hincapié en la garantía continua, la gestión de vulnerabilidades y la seguridad del ciclo de vida de los productos certificados.

Como parte de estos avances, Entrust Signature Activation Module 1.1.1 ha obtenido la certificación de criterios comunes EAL4+, aumentada con ALC_FLR.2 (corrección de fallos) y AVA_VAN.5 (análisis avanzado de vulnerabilidades), y reivindicando la PP EN 419 241-2.

Esta certificación proporciona un alto nivel de garantía en el diseño, las pruebas y el mantenimiento continuo de la seguridad del SAM, lo que respalda el cumplimiento de la normativa europea sobre ciberseguridad y confianza digital, incluido el eIDAS. Los aumentos validan los maduros procesos de gestión de vulnerabilidades de Entrust y su capacidad para identificar, remediar y defenderse contra escenarios de ataques avanzados.

Genere confianza digital con soluciones certificadas

Los HSM nShield de Entrust proporcionan una raíz de confianza segura probada y certificada según el riguroso perfil de protección EN 419 221-5 de criterios comunes, lo que ayuda a las organizaciones a mantener el cumplimiento y reforzar la confianza en sus operaciones criptográficas.

Nuestros modelos Solo XC, Connect XC, nShield 5c y nShield 5s ofrecen protección a prueba de manipulaciones para la generación, el cifrado y la firma de claves. Disponibles en varios formatos y como servicio, se adaptan a diversos requisitos de implantación.

Para las organizaciones que despliegan servicios de firma remota, Entrust ofrece el Signature Activation Module 1.1.1, ahora certificado en EAL4+. Cuando se empareja con un HSM de Entrust, forma un Qualified Signature Creation Device que cumple con eIDAS, lo que permite firmas y sellos electrónicos fiables y basados en estándares en todos los sectores regulados.

Explorar secciones

Explorar secciones

Cumpla las normas mundiales con soluciones de seguridad validadas
Estandarice las soluciones de seguridad

¿Quiere saber más sobre nuestros HSM nShield? Descargue hoy mismo nuestro último libro electrónico sobre módulos de seguridad de hardware.

Descargar